Migrar da API Admin OAuth do IAP

Esta página mostra as etapas para migrar de clientes OAuth 2.0 criados com a API Admin OAuth 2.0 do Identity-Aware Proxy (IAP) para um cliente OAuth 2.0 gerenciado pelo Google implantado pelo IAP.

A partir de 22 de janeiro de 2025, a API Admin OAuth 2.0 do IAP, usada para criar um cliente OAuth 2.0 do IAP, será descontinuada. A substituição é o cliente OAuth 2.0 gerenciado pelo Google, que é implantado automaticamente com o IAP. Esse cliente restringe o acesso a aplicativos com o IAP para usuários da mesma organização quando eles acessam esses aplicativos por um navegador.

Se você usou as APIs administrativas do IAP OAuth 2.0 para criar e gerenciar um cliente OAuth 2.0 e ativar o IAP nos seus aplicativos ou nos recursos doGoogle Cloud , você precisa migrar esses aplicativos e os recursos doGoogle Cloud para usar o cliente OAuth 2.0 gerenciado pelo Google.

Se você não tiver configurado um cliente OAuth 2.0 para seus aplicativos ou recursos do Google Cloud , o cliente OAuth 2.0 gerenciado pelo Google será implantado automaticamente quando você ativar o IAP nos seus aplicativos e recursos.

Se você usar o acesso programático para proteger seus aplicativos e recursos com o IAP, não será possível usar o cliente OAuth 2.0 gerenciado pelo Google. É necessário usar uma conta de serviço.

Migrar recursos do App Engine com ativação de IAP

Siga as etapas desta seção para migrar recursos do App Engine em que o IAP está ativado e um cliente OAuth 2.0 está configurado.

gcloud

Antes de continuar para as etapas, verifique se você tem uma versão atualizada da CLI gcloud. Para instruções sobre como instalar a CLI gcloud, consulte Instalar a CLI gcloud.

  1. Use a Google Cloud CLI para fazer a autenticação.

    gcloud auth login

  2. Clique no URL que aparece e faça login.

  3. Depois de fazer login, copie o código de verificação que aparece e cole-o na linha de comando.

  4. Execute o comando abaixo para especificar o projeto que contém os aplicativos que você quer continuar protegendo com o IAP.

    gcloud config set project PROJECT_ID

  5. Para migrar seus apps, execute o comando a seguir.

    gcloud iap web enable --resource-type=app-engine

API

  1. Execute o comando a seguir para preparar um arquivo settings.json.

     cat << EOF > settings.json
 {
 "iap":
     {
       "enabled":true
     }
 }
 EOF

  2. Execute o comando abaixo para migrar seus apps.

     curl -X PATCH \
 -H "Authorization: Bearer $(gcloud auth print-access-token)" \
 -H "Accept: application/json" \
 -H "Content-Type: application/json" \
 -d @settings.json \
 "https://appengine.googleapis.com/v1/apps/<var>PROJECT_ID</var>?updateMask=iap"

Migrar recursos do Compute Engine com o IAP ativado

Siga as etapas desta seção para migrar recursos do Compute Engine em que o IAP está ativado e um cliente OAuth 2.0 está configurado.

gcloud

Antes de continuar para as etapas, verifique se você tem uma versão atualizada da CLI gcloud. Para instruções sobre como instalar a CLI gcloud, consulte Instalar a CLI gcloud.

  1. Use a Google Cloud CLI para fazer a autenticação.

    gcloud auth login

  2. Clique no URL que aparece e faça login.

  3. Depois de fazer login, copie o código de verificação que aparece e cole-o na linha de comando.

  4. Execute o comando abaixo para especificar o projeto que contém os aplicativos que você quer continuar protegendo com o IAP.

    gcloud config set project PROJECT_ID

  5. Para migrar seus aplicativos, execute o comando de escopo global ou regional.

    Escopo global

    
gcloud compute backend-services update BACKEND_SERVICE_NAME \
--global \
--iap=enabled,oauth2-client-id=" ",oauth2-client-secret=" "

    Escopo regional

    
gcloud compute backend-services update BACKEND_SERVICE_NAME \
--region REGION_NAME \
--iap=enabled,oauth2-client-id=" ",oauth2-client-secret=" "

  6. Para confirmar que o ID do cliente OAuth não está definido, execute o comando de escopo global ou regional a seguir. Depois de executar o comando, verifique a saída para garantir que o campo de ID do cliente OAuth esteja vazio.

    Escopo global

    
gcloud compute backend-services describe BACKEND_SERVICE_NAME \
--global

    Escopo regional

    
gcloud compute backend-services describe BACKEND_SERVICE_NAME \
--region REGION_NAME

API

  1. Execute o comando a seguir para preparar um arquivo settings.json.

    cat << EOF > settings.json
{
"iap":
     {
       "enabled":true,
       "oauth2ClientId": " ",
       "oauth2ClientSecret": " "
     }
}
EOF

  2. Execute o comando abaixo para migrar seus recursos do IAP.

    Escopo global

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME"

    Escopo regional

    curl -X PATCH 
    
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/backendServices/BACKEND_SERVICE_NAME"

  3. Para confirmar que o ID do cliente OAuth não está definido, execute o comando de escopo global ou regional a seguir. Depois de executar o comando, verifique a saída para garantir que o campo de ID do cliente OAuth esteja vazio.

    Escopo global

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME"

    Escopo regional

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/backendServices/BACKEND_SERVICE_NAME"

Migrar recursos do Cloud Run com o IAP ativado

Siga as etapas desta seção para migrar recursos do Cloud Run em que o IAP está ativado e um cliente OAuth 2.0 está configurado.

gcloud

Antes de continuar com as etapas, verifique se você tem uma versão atualizada da CLI gcloud. Para instruções sobre como instalar a CLI gcloud, consulte Instalar a CLI gcloud.

  1. Para fazer a autenticação, use a Google Cloud CLI e execute o comando a seguir.

    gcloud auth login

  2. Clique no URL que aparece e faça login.

  3. Depois de fazer login, copie o código de verificação que aparece e cole-o na linha de comando.

  4. Execute o comando abaixo para especificar o projeto que contém os aplicativos que você quer continuar protegendo com o IAP.

    gcloud config set project PROJECT_ID

  5. Para migrar seus recursos, execute o comando de escopo global ou regional.

    Escopo global

    
gcloud compute backend-services update BACKEND_SERVICE_NAME \
--global \
--iap=enabled,oauth2-client-id=" ",oauth2-client-secret=" "

    Escopo regional

    
gcloud compute backend-services update BACKEND_SERVICE_NAME \
--region REGION_NAME \
--iap=enabled,oauth2-client-id=" ",oauth2-client-secret=" "

  6. Para confirmar que o ID do cliente OAuth não está definido, execute o comando de escopo global ou regional a seguir. Depois de executar o comando, verifique a saída para garantir que o campo de ID do cliente OAuth esteja vazio.

    Escopo global

    
gcloud compute backend-services describe BACKEND_SERVICE_NAME \
--global

    Escopo regional

    
gcloud compute backend-services describe BACKEND_SERVICE_NAME \
--region REGION_NAME

API

  1. Execute o comando a seguir para preparar um arquivo settings.json.

    cat << EOF > settings.json
{
"iap":
     {
       "enabled":true,
       "oauth2ClientId": " ",
       "oauth2ClientSecret": " "
     }
}
EOF

  2. Execute o comando a seguir para migrar seus recursos.

    Escopo global

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME"

    Escopo regional

    curl -X PATCH 
    
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d @settings.json \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/backendServices/BACKEND_SERVICE_NAME"

  3. Para confirmar que o ID do cliente OAuth não está definido, execute o comando de escopo global ou regional a seguir. Depois de executar o comando, verifique a saída para garantir que o campo de ID do cliente OAuth esteja vazio.

    Escopo global

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME"

    Escopo regional

    curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION_NAME/backendServices/BACKEND_SERVICE_NAME"

Migrar recursos do Google Kubernetes Engine com suporte para o IAP

Adicione o seguinte bloco de IAP à definição de recurso personalizado (CRD, na sigla em inglês) BackendConfig. Isso ativa o IAP com o cliente OAuth 2.0 gerenciado pelo Google.

apiVersion: cloud.google.com/v1
kind: BackendConfig
metadata:
  name: config-default
  namespace: my-namespace
spec:
  iap:
    enabled: true